Várias versões de um plugin do WordPress com o nome de “School Management Pro” abrigavam um backdoor que poderia conceder a um invasor controle total sobre sites vulneráveis.

O problema, detectado nas versões premium anteriores à 9.9.7, recebeu o identificador CVE CVE-2022-1609 e foi classificado como falha de alta gravidade.

O backdoor, permite que “um invasor não autenticado execute código PHP arbitrário em sites com o plug-in instalado”, disse Harald Eilertsen, da Jetpack, em um artigo na última sexta-feira (20).

Embora o backdoor tenha sido removido, as origens exatas do comprometimento permanecem obscuras, com o fornecedor afirmando que “eles não sabem quando ou como o código entrou em seu software”.

Recomenda-se que os clientes do plug-in atualizem para a versão mais recente (9.9.7) para evitar tentativas de exploração ativas.